启用或禁用 ICAP 流量实时扫描

如果启用了通过 ICAP 与代理服务器的集成，您可以启用或禁用 ICAP 流量实时扫描。

如果启用 ICAP 流量实时扫描，Kaspersky Anti Targeted Attack Platform 会实时向 ICAP 客户端发送有关扫描对象的信息。这有助于防止下载恶意对象和单击不受信任的链接。

要在安装了 Central Node 和 Sensor 组件的服务器上启用或禁用 ICAP 流量实时扫描：

1. 在应用程序 Web 界面窗口中选择传感器服务器部分。

   服务器列表表格将会显示。

2. 单击localhost Sensor 组件。
3. 选择 ICAP 与代理服务器集成 部分。

   当在设置> <Sensor 服务器名称>中集成被启用时，会显示实时扫描部分。

4. 在实时扫描下面，选择以下选项之一：
   • 残疾人。

     如果选择此选项，ICAP 流量实时扫描将被禁用。默认情况下选择此选项。

   • 已启用，标准 ICAP 流量扫描。

     启用此类扫描后，将根据卡巴斯基安全网络的知识库检查文件和 URL 的信誉，并由 Sandbox 组件、反恶意软件引擎和 YARA 模块扫描文件。当文件正在被 Sandbox 组件扫描时，它们仍然可用。

   • 已启用，高级 ICAP 流量扫描。

     启用此类扫描后，将根据卡巴斯基安全网络的知识库检查文件和 URL 的信誉，并由 Sandbox 组件、反恶意软件引擎和 YARA 模块扫描文件。当文件正在被 Sandbox 组件扫描时，它们不可用。

5. 在提取用户名下：
   • 如果要从 ICAP 服务器获取用户名，请将“状态”字段中的切换开关设置为“已启用”。如果要使用 Base64 解码，请在“标头名称”字段中选择“使用 Base64 解码”复选框。默认情况下，“状态”字段中的切换开关设置为“已禁用”。
   • 如果您不想从 ICAP 服务器获取用户名，请将“状态”字段中的切换开关设置为“已禁用”。
6. 单击应用。
7. 如果启用了 ICAP 流量实时扫描和启用了高级扫描模式或标准扫描模式，主机字段将显示处理出站流量的请求修改 (REQMOD) 服务的 URL，格式如下：icap://<host>:1344/av/reqmod，其中 <host> 是安装了 Sensor 组件的服务器的 IP 地址。要配置与 Kaspersky Anti Targeted Attack Platform 的集成，请复制此 URL 并将其粘贴到您的组织使用的代理服务器的设置中。

ICAP 流量的实时扫描被启用或禁用。

要在安装了 Sensor 组件的单个服务器上启用或禁用 ICAP 流量实时扫描：

1. 通过 SSH 协议或终端进入 Sensor 服务器的管理控制台。
2. 系统提示时，请输入管理员用户名和安装应用程序期间设置的密码。

   这将打开 Sensor 组件的设置菜单。如果菜单未打开，请输入kata-admin-menu命令并按 ENTER键。

3. 转至程序设置 → 配置 ICAP 集成部分。

   要选择一行，您可以使用 ↑、↓ 和ENTER键。所选行以红色突出显示。

4. 这将打开一个窗口；在该窗口中，确保[x]显示在已启用设置的右侧。
5. 选择以下选项之一：
   • 禁用实时扫描。

     如果选择此选项，ICAP 流量实时扫描将被禁用。默认情况下选择此选项。

   • 标准 ICAP 扫描。

     启用此类扫描后，将根据卡巴斯基安全网络的知识库检查文件和 URL 的信誉，并由反恶意软件引擎和 YARA 模块扫描文件。

   • 高级 ICAP 扫描。

     启用此类扫描后，将根据卡巴斯基安全网络的知识库检查文件和 URL 的信誉，并由 Sandbox 组件、反恶意软件引擎和 YARA 模块扫描文件。

6. 选择一个选项并按ENTER键。(O)显示在所选选项的右侧。

   要选择一行，您可以使用 ↑ 和 ↓ 键。所选行以红色突出显示。

7. 如果您启用了 ICAP 流量实时扫描并启用了高级扫描模式或标准扫描模式，请在代理服务器设置中的REQMOD字段中指定 URL。

在具有 Sensor 组件的单个服务器进行 ICAP 流量实时扫描被启用或禁用。

如果您启用了 ICAP 流量的实时扫描，并且禁用了与代理服务器的集成，则扫描将不起作用。所有 ICAP 流量扫描设置均已保存。当您重新启用与代理服务器的集成时，ICAP 流量扫描也会被启用。

页面顶部